随着供应链投毒、网络钓鱼愈发频繁,越来越多的用户给账号启用 passkey TOTP/OATH 增强安全性。
当然错误的使用方式,有可能会让你失去账号。
[合订本]比如:
【求助】身份验证器怎么删除
gmail 邮箱登录 接收不了电话验证码
推荐方案,使用 “3-2-1” 原则,即密码管理器为常用,启用手机/电脑/Security Key作为备用。
3—— 密码管理器,保存其他账号常用密码、passkey、TOTP、备用验证码
2—— Security Key/第二个手机,作为passkey/2fa 副本
1—— 第二个Security Key/其他设备。 作为passkey/2fa 备用副本,密码管理器最后钥匙
关于 常用密码管理器:
保存一切的核心,为密码管理器设置强密码之外,你需要多个2FA方式,选择启用passkey。最好在纸质介质上保存备用验证码救急。
关于 备用:
备用方式 仅保存其他账号passkey/2fa
关于 备用的副本:
备用副本紧急情况下启用,保存其他账号passkey/2fa,6-12月同步一次,存放在异地。
单个账号绑定什么?有冲突如何处理?
passkey (如有就启用)
密码 (保存在密码管理器)
2FA 通常是有 TOTP/U2F/备用验证码
如果能同时启用,即可其实启用。
如果是保存TOTP/U2F 有冲突,优先U2F,如果仅能TOTP,那就启用TOTP。
其他可能冲突:如果是密码管理器启用passkey,2FA启用 U2F不要保存到密码管理器。可以保存U2F到其他备用方案的Security Key之中。
如果你备用方案都是第二/第三 部手机,2FA验证备用,那就优先保存是TOTP
关于密码管理器如何确保不失联 ?
直接做双备份,本地留一份,远程/异地留一份。备份按年/月/天(周)留档,防止失联。
密码管理器本身的2FA尽量多绑定更多的方式,以离线为主。
密码管理器 和 Security Key 部分区别:
密码管理器 保存passkey和U2F,不建议同时存在
Security Key,能同时保存passkey和U2F
这里说的 passkey 更多是指 ctap2协议的可发现凭据。U2F 是指 ctap1 不可发现凭据。
第二/三 个手机如何作为2FA?
下载专门的app,专门绑定TOTP。另外也可以把设备本身作为U2F/passkey
Security Key 理论上可靠性更高
以上仅是个人密码管理器小心得。当然可能有错漏。欢迎指正。
1 个帖子 - 1 位参与者